Apa yang dimaksud dengan kerentanan Log4j?

Aktor jahat dapat menggunakan kekurangan Log4j untuk menjalankan hampir semua kode yang mereka inginkan pada sistem yang rentan.

Para peneliti menganggap Log4Shell sebagai kerentanan keamanan yang "dahsyat" karena tersebar luas—Log4J adalah salah satu program sumber terbuka yang paling banyak diterapkan di dunia—dan mudah digunakan. Jen Easterly, direktur Badan Keamanan Siber dan Infrastruktur AS (CISA), menyebutnya sebagai "salah satu yang paling serius yang pernah saya lihat sepanjang karier saya, jika bukan yang paling serius."

Log4Shell memicu lonjakan serangan siber pada Desember 2021. Indeks X-Force Threat Intelligence IBM mencatat peningkatan 34% dalam eksploitasi kerentanan antara tahun 2020 dan 2021, terutama disebabkan oleh Log4Shell.

Log4Shell ditambal tak lama setelah penemuan tetapi akan menimbulkan risiko selama bertahun-tahun, karena Log4J sangat tertanam dalam rantai pasokan perangkat lunak. Departemen Keamanan Dalam Negeri AS memperkirakan dibutuhkan setidaknya satu dekade untuk menemukan dan memperbaiki setiap contoh yang rentan.

Log4j adalah kerangka kerja logging yang dikembangkan oleh Apache Software Foundation. Seperti namanya, Log4J adalah seorang logger. Program ini merekam informasi penting seperti pesan kesalahan dan input pengguna dalam suatu program.

Log4J adalah pustaka perangkat lunak sumber terbuka, sebuah paket kode yang sudah ditulis sebelumnya yang dapat digunakan secara bebas oleh pengembang. Alih-alih menulis logger mereka sendiri, para pengembang dapat menyambungkan pustaka Log4J ke dalam aplikasi mereka. Kenyamanan ini adalah alasan mengapa Log4J sangat luas, dibangun ke dalam produk dari organisasi besar seperti Microsoft dan Amazon, untuk menyebutkan beberapa di antaranya.

Log4Shell, pengidentifikasi Common Vulnerability and Exposure (CVE), CVE-2021-44228, adalah kerentanan eksekusi kode jarak jauh (RCE) yang ada di beberapa versi Log4J. Cacat mempengaruhi Apache Log4J 2, versi 2.14.1 dan sebelumnya. Log4J 2.15 dan yang lebih baru, dan semua versi Apache Log4J 1, tidak terpengaruh.

Log4Shell muncul dari bagaimana versi lama Log4J 2 menangani pencarian Java Naming and Directory Interface (JNDI). JNDI adalah antarmuka pemrograman aplikasi (API) yang digunakan aplikasi Java untuk mengakses sumber daya yang dihosting di server eksternal. Pencarian JNDI adalah perintah yang memerintahkan aplikasi untuk pergi ke server dan mengunduh objek tertentu, seperti sepotong data atau skrip. Versi lama Log4J 2 secara otomatis menjalankan kode apa pun yang diunduh dengan cara ini.

Pengguna dapat mengirimkan pencarian JNDI ke versi Log4J yang rentan dengan menyertakannya dalam pesan log. Melakukannya sederhana. Misalnya, dalam versi Minecraft Java Edition yang lebih lama, yang menggunakan Log4J untuk merekam pesan pengguna, pengguna dapat mengetikkan pencarian JNDI ke jendela obrolan publik.

Peretas dapat menggunakan fungsionalitas JNDI ini untuk menjalankan kode berbahaya dan sewenang-wenang dari jarak jauh. Pertama, peretas menyiapkan server menggunakan protokol umum, seperti Lightweight Directory Access Protocol (LDAP) untuk menghindari perhatian. Selanjutnya, mereka menyimpan muatan berbahaya di server itu, seperti file malware. Terakhir, mereka mengirimkan pencarian JNDI ke sebuah program, memerintahkannya untuk pergi ke server LDAP penyerang, mengunduh muatan, dan menjalankan kode.

Peneliti keamanan di raksasa teknologi Alibaba menemukan Log4Shell pada 24 November 2021. Dengan segera menerima skor Sistem Penilaian Kerentanan Umum (CVSS) tertinggi: 10 dari 10. Beberapa faktor berkontribusi terhadap penilaian ini.

• Log4Shell adalah kerentanan zero-day, yang berarti tidak ada tambalan yang tersedia saat ditemukan. Pelaku ancaman mungkin menggunakan Log4Shell ketika Apache sedang melakukan perbaikan.
  
  
• Log4J juga merupakan salah satu pustaka pencatatan yang paling banyak digunakan, yang dibangun ke dalam titik akhir konsumen, aplikasi web, dan layanan cloud perusahaan. Menurut Wiz dan EY, 93% dari semua lingkungan cloud berisiko ketika Log4Shell ditemukan.
  
  
• Perusahaan tidak selalu dapat langsung mengetahui apakah mereka rentan. Log4J sering hadir dalam jaringan sebagai ketergantungan tidak langsung, yang berarti aset perusahaan mungkin tidak menggunakan Log4J, tetapi mereka bergantung pada aplikasi dan layanan lain yang melakukannya.
  
  
• Terakhir, Log4Shell sangat mudah digunakan. Peretas tidak memerlukan izin atau otentikasi khusus. Mereka bisa mendatangkan malapetaka dengan mengetikkan perintah jahat ke dalam formulir publik seperti kotak obrolan dan halaman login. Dan karena Log4J dapat berkomunikasi dengan layanan lain pada sistem yang sama, peretas dapat menggunakan Log4J untuk mengirimkan muatan ke bagian lain dari sistem.

Pada tanggal 9 Desember 2021, kode bukti konsep tentang cara menggunakan Log4Shell diposting di GitHub, dan para peretas meningkatkan serangan. Perusahaan dan layanan besar seperti Minecraft, Twitter, dan Cisco terkena dampaknya. Pada puncak aktivitas Log4Shell, Check Point mengamati lebih dari 100 serangan setiap menit, memengaruhi lebih dari 40% semua jaringan bisnis secara global.

Serangan paling awal menyebarkan malware botnet dan cryptomining. Beberapa peretas menggunakan kelemahan ini untuk melancarkan serangan tanpa berkas, mengirimkan skrip berbahaya ke komputer Windows dan Linux untuk membuat mereka membocorkan kata sandi dan informasi sensitif lainnya.

Beberapa geng ransomware menyita Log4Shell. Khususnya, para peretas menyebarkan jenis ransomware Khonsari melalui Minecraft. Ransomware Night Sky menargetkan sistem yang menjalankan VMware Horizon.

Bahkan aktor-aktor negara pun turut serta. Peretas yang terkait dengan China, Iran, Korea Utara, dan Turki terlihat memanfaatkan kerentanan tersebut.

Apache meluncurkan patch pertama (Log4J versi 2.15.0) pada 10 Desember 2021. Namun, patch tersebut meninggalkan kerentanan lain yang terbuka, CVE-2021-45046, yang memungkinkan peretas mengirim perintah berbahaya ke log dengan pengaturan nondefault tertentu.

Apache merilis patch kedua (Log4J versi 2.16.0) pada 14 Desember 2021. Versi ini juga memiliki kekurangan, yaitu CVE-2021-45105, yang memungkinkan peretas memulai serangan denial-of-service (DoS).

Patch ketiga, Log4J versi 2.17, memperbaiki kelemahan DoS tetapi meninggalkan satu kerentanan, CVE-2021-44832, yang memungkinkan peretas untuk mengambil alih kendali komponen Log4J yang disebut "appender" untuk menjalankan kode jarak jauh. Apache mengatasi masalah ini dengan patch keempat dan terakhir, yaitu Log4J versi 2.17.1.

Meskipun Log4J 2.17.1 menutup Log4Shell dan semua kerentanan terkait di sisi Apache, ancaman siber masih menggunakan kelemahan tersebut. Baru-baru ini pada Mei 2023, Log4Shell tetap menjadi salah satu kerentanan yang paling umum digunakan.

Log4Shell bertahan karena beberapa alasan.

Yang pertama adalah bahwa Log4J sudah tidak terpakai di dalam rantai pasokan perangkat lunak banyak perusahaan. Saat ini, banyak aplikasi dibangun dengan merakit pustaka perangkat lunak sumber terbuka yang sudah ada sebelumnya. Proses ini memang nyaman, tetapi juga berarti bahwa organisasi memiliki visibilitas terbatas ke semua komponen yang membentuk aplikasi mereka. Versi lama Log4J dapat dengan mudah terabaikan.

Ketika versi Log4J yang rentan ditambal, tambalan tidak selalu berhasil. Pada bulan November 2022, Tenable melaporkan bahwa 29% aset yang masih rentan terhadap Log4Shell adalah “pengulangan.” Mereka telah ditambal sebelumnya, tetapi kekurangan itu muncul kembali. Skenario ini terjadi karena ketika orang membuat atau memperbarui aplikasi, mereka terkadang secara tidak sengaja menggunakan pustaka perangkat lunak yang masih berisi versi Log4J yang belum ditambal.

Akhirnya, peretas mengembangkan cara cerdas untuk menutupi jejak mereka. Menurut CISA, beberapa peretas menggunakan Log4Shell untuk masuk ke jaringan, dan kemudian mereka menambal aset. Perusahaan mengira sudah aman, tetapi para peretas sudah 'masuk'.

Versi terbaru Log4J bebas dari Log4Shell. Pakar keamanan siber merekomendasikan agar tim keamanan fokus untuk memastikan semua contoh Log4J dalam sistem mereka adalah yang terbaru.

Memperbarui Log4J bisa menjadi proses yang lambat, karena perusahaan sering perlu menggali lebih dalam aset mereka untuk menemukannya. Sementara itu, tim keamanan dapat menggunakan pemindaian kerentanan berkelanjutan dan alat deteksi ancaman seperti platform manajemen permukaan serangan (ASM) dan deteksi dan respons titik akhir (EDR) untuk memantau aset yang terhubung ke internet. Para pakar merekomendasikan agar tim respons insiden menyelidiki secara menyeluruh setiap petunjuk aktivitas Log4Shell.

Setelah Log4Shell go public, banyak firewall, sistem deteksi intrusi (IDS) dan sistem pencegahan intrusi (IPS) menambahkan aturan untuk menemukan eksploitasi Log4Shell. Alat ini dapat membantu tim keamanan mendeteksi dan memblokir lalu lintas dari server yang dikendalikan penyerang.

• 18 Juli 2013: Apache merilis Log4J 2.0-beta9, versi pertama yang mendukung plug-in JNDI. Meskipun kerentanan tidak akan ditemukan sampai bertahun-tahun kemudian, Log4Shell hadir sejak saat ini.

• 24 November 2021: Peneliti keamanan dari Alibaba menemukan Log4Shell dan melaporkannya ke Apache. Apache mulai mengerjakan sebuah patch tetapi tidak merilis peringatan keamanan publik.

• 9 Desember 2021: Peneliti keamanan dari Alibaba menemukan bukti bahwa Log4Shell sedang didiskusikan di alam liar, dan kode eksploitasi bukti konsep diposting ke GitHub.

• 10 Desember 2021: Apache mengeluarkan tambalan pertama, dan pengembang Minecraft menemukan Log4Shell di Minecraft Java Edition. Komunitas keamanan siber dengan cepat menyadari parahnya situasi ini, dan organisasi mulai berebut mengunci sistem mereka.

• 11 Desember 2021: Cloudflare menemukan bukti bahwa pelaku ancaman mulai mengeksploitasi Log4Shell lebih awal dari yang pertama kali dianggap, sejak 1 Desember.

• 14 Desember 2021: CVE-2021-45046 ditemukan, dan Apache merilis tambalan untuk mengatasinya.

• 17 Desember 2021: CVE-2021-45105 ditemukan, dan Apache merilis tambalan untuk mengatasinya.

• 28 Desember 2021: CVE-2021-44832 ditemukan, dan Apache merilis patch terakhir. Dari Log4J versi 2.17.1 dan seterusnya, Log4Shell sepenuhnya diperbaiki.

• 4 Januari 2022: Komisi Perdagangan Federal AS (FTC) mengumumkan bahwa mereka bermaksud untuk mengejar setiap perusahaan yang mengekspos data konsumen kepada peretas karena mereka gagal mengatasi Log4Shell.

• Mei 2023: Check Point menemukan bahwa Log4Shell masih merupakan kerentanan kedua yang paling sering dieksploitasi.